調査レポート◎JNSA／SECURITY ACTION宣言事業者の実態調査

　特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は、2025年8月に「SECURITY ACTION宣言事業者（二つ星）における情報セキュリティ自社診断の実態調査（以下、SECURITY ACTION宣言事業者実態調査）」を公開しました。

　この調査は、SECURITY ACTIONの二つ星を宣言した事業者を対象とした実態調査。IPAの「中小企業の情報セキュリティ対策ガイドライン」で提示されている「5分でできる！情報セキュリティ自社診断」の25項目に基づき、それぞれの項目における実施状況を調査した結果をまとめたものです。

　大企業で相次ぐサイバー攻撃による被害、サプライチェーンにおけるサイバー攻撃対策として2026年度から導入予定のセキュリティ対策評価制度など、企業を取り巻くセキュリティ環境は大きく動いています。

　そうした中、SECURITY ACTION（関連記事：中小企業セキュリティの第一歩！SECURITY ACTION宣言）は中小企業が取り組むべきセキュリティ対策の指針とされています。5段階（五つ星）で格付けされる予定のセキュリティ評価制度においては、最も基本的なレベルである一つ星と二つ星の構成要素となる方向です。

　とはいえ、SECURITY ACTIONは自己宣言型の制度であり、実際に宣言した中小企業がガイドラインに準拠したセキュリティ対策を実行しているかどうかは分かりません。ただ、少なくともSECURITY ACTION宣言事業者はセキュリティへの意識が高いといことは確か。そうした中小企業が、実際にどうセキュリティ対策に取り組んでいるかを明らかにしたSECURITY ACTION宣言事業者実態調査は、他の中小企業や小規模事業者にも参考となるはずです。

　本稿では、同調査をもとに特徴的なポイントをピックアップして、独自視点から解説していきます。

宣言のきっかけ：既存取引先との信頼強化に重き

　調査では、SECURITY ACTION宣言事業者が宣言を行った理由についての結果がまとめられています（図1）。

図1：SECURITY ACTION宣言を行うきっかけと効果（出典：「SECURITY ACTION宣言事業者（二つ星）における情報セキュリティ自社診断の実態調査」より引用）

　宣言事業者の最多回答は「取引先からの信頼性の向上」であり、次いで「従業員による情報管理や情報セキュリティに関する意識の向上」や「経営層の情報セキュリティ対策に関する意識の向上」が上位となっています。

　セキュリティへの取り組みを社内だけの問題と捉えるのではなく、取引先からの信頼を獲得・維持するための対外アピール手段としても活用している実態が読み取れます。

　さらに対外アピールという視点で見た場合、最多の「取引先からの信頼性向上」が、「新規の取引先の増加」や「自社の社会的な知名度の向上」を上回っており、新たなビジネス機会を求めるというよりは既存取引先との関係強化を目的として宣言していることがうかがえます。

　また、「その他」の回答について、この調査によると、内訳から「140社の企業が補助金について言及していることがわかった」としています。国が提供する補助金申請ではSECURITY ACTION宣言が要件となっているものがあり、これらの補助金申請のために宣言を行った事業者もいるようです。

　一方、「特に得られた効果はない」「わからない」という回答も全体の1割ほど見られ、セキュリティに取り組む、あるいはSECURITY ACTIONを宣言する効果を実感できていない事業者が一定数存在することが見てとれます。同制度は自己宣言型スキームではありますが、宣言後のフォローや効果での可視化などが課題ともいえそうです。

項目別の実施率：組織的体制整備に遅れ

　本調査は、「5分でできる！情報セキュリティ自社診断」に掲示された25項目をもとにアンケート調査が実施されており、その結果が項目ごとに集計されています（図2）。

図2：項目別の実施割合（出典：「SECURITY ACTION宣言事業者（二つ星）における情報セキュリティ自社診断の実態調査」より引用）

　項目別調査で、一部実施も含めた実施率の割合が高かったのは「アップデート」や「ウイルス感染」、「電子メール受信」、「バックアップ」などです。

　いずれもセキュリティ対策として最も基本的な取り組みであると共に、外部からの攻撃や侵入対策に直結する項目で実施率が高い傾向が見て取れます。報告書では、「昨今のサイバー攻撃に関する報道により、外部からの攻撃から社内を守る意識が高まっているためと考えられる」と考察しています。

　一方、実施割合が低い項目としては「情報共有」や「事故対応」、「対策の明確化」などが挙げられ、組織的・内部運用的なセキュリティ体制の構築が追い付いていない実態が浮き彫りとなりました。セキュリティ対策は部分的に対処すればよいものではなく、組織だった体系的な取り組みが必要です。この点、中小企業は、まだまだ遅れているということです。

未実施理由：「優先順位が低い」が上位

　同調査では、項目別の実施率調査において「実施予定なし」とした事業者の理由に関する回答もまとめられています（図3）。

図3：項目別の実施予定がない理由（出典：「SECURITY ACTION宣言事業者（二つ星）における情報セキュリティ自社診断の実態調査」より引用）

　実施予定がないとした理由については、ほとんどの項目において「優先順位が低い」との回答が上位となりました。予算や人材、技術的課題といった取り組むうえで「障害あり」とした事業者はわずか。事業者の多くは「必要なし」、あるいは「優先順位が低い」といった理由で、実施予定なしと回答した項目については対策を講じないとみられます。

　未実施の項目としては、「電子メール送信」や「添付重要情報の保護」、「盗難防止」が上位となっています。これらについては後述します。

　また、同調査では、実施予定がないとした理由について「障害あり」と回答した事業者に対して、どのような支援があれば実施することができるかについても質問しています。

　必要な支援として「補助金支給」や「税制優遇」といったコスト的な要望が多いですが、「法的義務化」など制度として規定されたり、社会的に評価される仕組みが導入されたりするならば実施するとの回答もみられたとのことです。

業種別実施状況：項目ごとの実施率に業種間差異なし

　業種別の実施状況調査では、アンケート結果で有効回答数が多かった上位5業種を取り上げ、25項目それぞれの実施割合（実施済み）がレーダーチャートとしてまとめられています（図4）。

図4：業種別の実施済み項目割合（出典：「SECURITY ACTION宣言事業者（二つ星）における情報セキュリティ自社診断の実態調査」より引用）

　各項目の実施率の全体的な傾向は、どの業種もほぼ同じ形状となっていることから、業種の違いによる差はないといえます。ただし、チャートのサイズ感には差があるため、対策の進み具合には差が見られます。

　そうした中、情報通信業で実施率が突出して高くなっています。総じて他業種を上回っており、中でも他業種において実施率が低い「パスワード」や「盗難対策（情報の持ち出しルール）」、「機器・備品の盗難防止対策」、「事故対応」や「対策の明確化」で差が顕著です。

　これは、情報通信業では扱う情報量が多いことやデジタルシフトが進んでいること、業界特有の法規制などが影響していることなどが要因であると推察されます。逆に、建設や製造業、小売りなどでは総じてデジタルシフトが進んでおらず、情報セキュリティ対策の実施率が低いともいえるでしょう。

中小企業の情報セキュリティ課題

　SECURITY ACTION宣言事業者実態調査では、アンケート結果から中小企業の情報セキュリティ対策の課題を分析しています。その内容は報告書に譲るとして、本稿では特に着目したいポイントについて言及します。

　まず、目に付いたのが「パスワード」です。この項目では、長く複雑なパスワードを設定することが求められています。実施済みと一部実施を含めるとパスワード管理の実施率は90％以上ですが、実施済みだけで見ると50％を少し超える程度という結果です。

　セキュリティは最もレベルの低い水準に沿うといわれるように、どれほど強固な対策を導入しても不十分な箇所があれば、そこが脆弱性となる可能性があります。パスワード管理では、使い回しやワンタイムパスワードの限界などの課題が指摘されていることを鑑みれば、一部実施という状況では未実施部分が脆弱性となるリスクが指摘されます。

　パスワード管理は従業員個人に負う部分も大きいですが、アクセス認証の手段として主流の仕組みだけに、ツールやソリューションなども活用しながら全社レベルでの実施が欠かせないといえるでしょう。

　「電子メール送信」や「添付重要情報の保護」の実施率の低さも気になりました。実施しない理由（図3）では、「必要なし」と「優先順位が低い」として事実上、対策を考えていない事業者が多くなっています。

　同調査とは別の調査となりますが、「電子メールの誤送信経験者は管理者が59.9％、従業員で45.0％」となっており、その内容として「宛先ミス」がトップとなっています（情報セキュリティメーカーのデジタルアーツによる調査）。

　実際、編集部でも誤送信メールを年に何度か受け取ることがあります。些細な内容であれば問題ありませんが、個人情報や重要情報が含まれているケースも見受けられます。

　電子メールの送受信に使われるメーラーソフトでは、アドレス入力時の予測変換や登録アドレスからの選択といった利便性の高い機能を持つものも少なくありません。しかし便利ゆえに、宛名の選択ミスや確認漏れなどに起因した誤送信も多くなっているようです。

　いずれにしても、電子メールの受信ばかりでなく、送信や添付情報についてもセキュリティ対策を講じることが必要ではないでしょうか。

　また、事務所内のノートパソコンや備品を安全に管理する「盗難防止」も実施済み事業者は少なく、実施率は50％を割っている状況で、必要ない、優先度が低いとの回答も多い項目です。類似対策として、関係者以外の事務所への立ち入りを制限する「立ち入り監視」や、オフィスの戸締りを気にかける「施錠管理」などがあり、これらの対策は実施率が比較的高くなっています。

　報告書でも言及されている通り、立ち入り監視や施錠管理が盗難防止を兼ねると考えるのも道理でしょう。最近は働き方の多様化により、業務用ノートPCを持ち帰ることも増えているだけに、事務所内で備品を守る意識が薄らいでいるのかもしれません。

　そうした場合、業務用のデジタル機器や重要情報を社外へ持ち出す際のセキュリティルールや対策を講じることが求められます。

　この他、調査報告書では詳しい状況や背景を把握するために実施したヒアリング調査の結果を紹介し、そこから見えてくる課題を解説。さらに調査に基づく考察も行っています。